إعادة توجيه معلومات تنبيه OT المحلية
تعزز تنبيهات Microsoft Defender for IoT أمان الشبكة وعملياتها بتفاصيل في الوقت الحقيقي حول الأحداث التي تم تسجيلها في شبكتك. يتم تشغيل تنبيهات OT عندما تكتشف مستشعرات شبكة OT التغييرات أو النشاط المشبوه في حركة مرور الشبكة التي تحتاج إلى انتباهك.
توضح هذه المقالة كيفية تكوين مستشعر OT لإعادة توجيه التنبيهات إلى خدمات الشركاء وخوادم syslog وعناوين البريد الإلكتروني والمزيد. تتضمن معلومات التنبيه التي تمت إعادة توجيهها تفاصيل مثل:
- تاريخ ووقت التنبيه
- المحرك الذي اكتشف الحدث
- عنوان التنبيه والرسالة الوصفية
- خطورة التنبيه
- اسم المصدر والوجهة وعنوان IP
- نسبة استخدام الشبكة المشتبه بها التي تم اكتشافها
- أدوات الاستشعار غير المتصلة
- فشل النسخ الاحتياطي عن بعد
إشعار
يتم تشغيل قواعد تنبيه إعادة التوجيه فقط على التنبيهات التي يتم تشغيلها بعد إنشاء قاعدة إعادة التوجيه. لا تتأثر التنبيهات الموجودة بالفعل في النظام من قبل إنشاء قاعدة إعادة التوجيه بالقاعدة.
المتطلبات الأساسية
اعتمادا على المكان الذي تريد إنشاء قواعد تنبيه إعادة التوجيه الخاصة بك، تحتاج إلى تثبيت مستشعر شبكة OT، مع الوصول كمستخدم مسؤول.
لمزيد من المعلومات، راجع تثبيت برامج المراقبة بدون عامل OT والمستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
تحتاج أيضا إلى تحديد إعدادات SMTP على مستشعر OT.
لمزيد من المعلومات، راجع تكوين إعدادات خادم بريد SMTP على مستشعر OT.
إنشاء قواعد إعادة التوجيه على مستشعر OT
سجل الدخول إلى مستشعر OT وحدد إعادة التوجيه في القائمة> اليسرى + إنشاء قاعدة جديدة.
في جزء إضافة قاعدة إعادة توجيه، أدخل اسم قاعدة ذي معنى، ثم حدد شروط القاعدة وإجراءاتها كما يلي:
Name الوصف الحد الأدنى لمستوى التنبيه حدد الحد الأدنى لمستوى خطورة التنبيه الذي تريد إعادة توجيهه.
على سبيل المثال، إذا حددت Minor، تتم إعادة توجيه التنبيهات الثانوية وأي تنبيه أعلى من مستوى الخطورة هذا.أي بروتوكول تم اكتشافه قم بالتبديل إلى إعادة توجيه التنبيهات من كل حركة مرور البروتوكول أو التبديل إلى إيقاف وحدد البروتوكولات المحددة التي تريد تضمينها. نسبة استخدام الشبكة التي تم اكتشافها بواسطة أي محرك قم بالتبديل إلى إعادة توجيه التنبيهات من جميع محركات التحليلات، أو قم بإيقاف التشغيل وحدد المحركات المحددة التي تريد تضمينها. إجراءات حدد نوع الخادم الذي تريد إعادة توجيه التنبيهات إليه، ثم حدد أي معلومات مطلوبة أخرى لنوع الخادم هذا.
لإضافة خوادم متعددة إلى نفس القاعدة، حدد + إضافة خادم وأضف المزيد من التفاصيل.
لمزيد من المعلومات، راجع تكوين إجراءات قاعدة إعادة توجيه التنبيه.عند الانتهاء من تكوين القاعدة، حدد حفظ. القاعدة مدرجة في صفحة إعادة التوجيه .
اختبر القاعدة التي قمت بإنشائها:
- حدد قائمة الخيارات (...) لقاعدة> إرسال رسالة اختبار.
- انتقل إلى الخدمة الهدف للتحقق من تلقي المعلومات المرسلة بواسطة المستشعر.
تحرير قواعد إعادة التوجيه أو حذفها على مستشعر OT
لتحرير قاعدة موجودة أو حذفها:
سجل الدخول إلى مستشعر OT وحدد إعادة التوجيه في القائمة اليسرى.
حدد قائمة الخيارات (...) للقاعدة الخاصة بك، ثم قم بأحد الإجراءات التالية:
حدد تحرير الحقول وتحديثها حسب الحاجة. عندما تنتهي، حدد حفظ.
حدد حذف>نعم لتأكيد الحذف.
تكوين إجراءات قاعدة إعادة توجيه التنبيه
يصف هذا القسم كيفية تكوين الإعدادات لإجراءات قاعدة إعادة التوجيه المدعومة على مستشعر OT.
إجراء عنوان البريد الإلكتروني
تكوين إجراء بريد إلكتروني لإعادة توجيه بيانات التنبيه إلى عنوان البريد الإلكتروني الذي تم تكوينه.
في منطقة الإجراءات ، أدخل التفاصيل التالية:
Name | الوصف |
---|---|
الخادم | حدد البريد الإلكتروني. |
بريد إلكتروني | أدخل عنوان البريد الإلكتروني الذي تريد إعادة توجيه التنبيهات إليه. تدعم كل قاعدة عنوان بريد إلكتروني واحد. |
المنطقة الزمنية | حدد المنطقة الزمنية التي تريد استخدامها للكشف عن التنبيه في النظام الهدف. |
إجراءات خادم Syslog
تكوين إجراء خادم Syslog لإعادة توجيه بيانات التنبيه إلى النوع المحدد من خادم Syslog.
في منطقة الإجراءات ، أدخل التفاصيل التالية:
Name | الوصف |
---|---|
الخادم | حدد أحد الأنواع التالية من تنسيقات syslog: - خادم SYSLOG (تنسيق CEF) - خادم SYSLOG (تنسيق LEEF) - خادم SYSLOG (كائن) - خادم SYSLOG (رسالة نصية) |
منفذ المضيف / | أدخل اسم مضيف ومنفذ خادم syslog |
المنطقة الزمنية | حدد المنطقة الزمنية التي تريد استخدامها للكشف عن التنبيه في النظام الهدف. |
البروتوكول | معتمد للرسائل النصية فقط. حدد TCP أو UDP. |
تمكين التشفير | معتمد لتنسيق CEF فقط. قم بالتبديل لتكوين ملف شهادة تشفير TLS وملف المفتاح وعبارة المرور. |
تصف الأقسام التالية بناء جملة إخراج syslog لكل تنسيق.
حقول إخراج الرسالة النصية من Syslog
Name | الوصف |
---|---|
أولوية | المستخدم. التنبيه |
رسالة | اسم النظام الأساسي ل CyberX: اسم المستشعر. تنبيه Microsoft Defender for IoT: عنوان التنبيه. النوع: نوع التنبيه. يمكن أن يكون انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي. الشدة: شدة التنبيه. يمكن أن تكون تحذير، أو ثانوي، أو رئيسي، أو حرج. المصدر: اسم الجهاز المصدر. عنوان IP للمصدر: عنوان IP للجهاز المصدر. البروتوكول (اختياري): بروتوكول المصدر المكتشف. العنوان (اختياري): عنوان بروتوكول المصدر. الوجهة: اسم الجهاز الوجهة. عنوان IP للوجهة: عنوان IP للجهاز الوجهة. البروتوكول (اختياري): بروتوكول الوجهة المكتشف. العنوان (اختياري): عنوان بروتوكول الوجهة. الرسالة: رسالة التنبيه. مجموعة التنبيه: مجموعة التنبيه المقترنة بالتنبيه. UUID (اختياري): UUID التنبيه. |
حقول إخراج كائن Syslog
Name | الوصف |
---|---|
أولوية | User.Alert |
التاريخ والوقت | التاريخ والوقت الذي تلقى فيه جهاز خادم syslog المعلومات. |
اسم المضيف | عنوان IP للمستشعر |
رسالة | اسم المستشعر: اسم الجهاز. وقت التنبيه: الوقت الذي تم فيه الكشف عن التنبيه: يمكن أن يختلف عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية لقاعدة إعادة التوجيه. عنوان التنبيه: عنوان التنبيه. رسالة التنبيه: رسالة التنبيه. خطورة التنبيه: خطورة التنبيه: تحذير أو ثانوي أو رئيسي أو حرج. نوع التنبيه: انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي. البروتوكول: بروتوكول التنبيه. Source_MAC: عنوان IP أو الاسم أو المورد أو نظام التشغيل للجهاز المصدر. Destination_MAC: عنوان IP أو الاسم أو المورد أو نظام التشغيل للوجهة. إذا كانت البيانات مفقودة، تكون القيمة N /A. alert_group: مجموعة التنبيه المقترنة بالتنبيه. |
حقول إخراج Syslog CEF
Name | الوصف |
---|---|
أولوية | User.Alert |
التاريخ والوقت | التاريخ والوقت الذي أرسل فيه المستشعر المعلومات بتنسيق التوقيت العالمي المتفق عليه |
اسم المضيف | اسم مضيف المستشعر |
رسالة | CEF:0 Microsoft Defender ل IoT/CyberX اسم المستشعر إصدار المستشعر تنبيه Microsoft Defender for IoT عنوان التنبيه مؤشر عدد صحيح على الخطورة. 1=تحذير أو 4=ثانوي أو 8=رئيسي أو 10=حرج. msg= رسالة التنبيه. protocol= بروتوكول التنبيه. severity= تحذير أو ثانوي أو رئيسي أو حرج. type= انتهاك البروتوكول أو انتهاك النهج أو البرامج الضارة أو الحالات الشاذة أو التشغيلية. UUID= UUID للتنبيه (اختياري) start= الوقت الذي تم فيه الكشف عن التنبيه. قد يختلف عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية لقاعدة إعادة التوجيه. src_ip= عنوان IP للجهاز المصدر. (اختياري) src_mac= عنوان MAC للجهاز المصدر. (اختياري) dst_ip= عنوان IP للجهاز الوجهة. (اختياري) dst_mac= عنوان MAC للجهاز الوجهة. (اختياري) cat= مجموعة التنبيه المقترنة بالتنبيه. |
حقول إخراج Syslog LEEF
Name | الوصف |
---|---|
أولوية | User.Alert |
التاريخ والوقت | التاريخ والوقت الذي أرسل فيه المستشعر المعلومات بتنسيق التوقيت العالمي المتفق عليه |
اسم المضيف | عنوان IP للمستشعر |
رسالة | اسم المستشعر: اسم جهاز Microsoft Defender for IoT. LEEF:1.0 Microsoft Defender for IoT مجس إصدار المستشعر تنبيه Microsoft Defender for IoT العنوان: عنوان التنبيه. الرسالة: رسالة التنبيه. البروتوكول: بروتوكول التنبيه. الشدة: تحذير، أو ثانوي، أو رئيسي، أو حرج. النوع: نوع التنبيه: انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي. البدء: وقت التنبيه. قد يكون مختلفا عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية. src_ip: عنوان IP للجهاز المصدر. dst_ip: عنوان IP للجهاز الوجهة. cat: مجموعة التنبيه المقترنة التنبيه. |
إجراء NetWitness
تكوين إجراء NetWitness لإرسال معلومات التنبيه إلى خادم NetWitness.
في منطقة الإجراءات ، أدخل التفاصيل التالية:
Name | الوصف |
---|---|
الخادم | حدد NetWitness. |
اسم المضيف / المنفذ | أدخل اسم مضيف ومنفذ خادم NetWitness. |
المنطقة الزمنية | أدخل المنطقة الزمنية التي تريد استخدامها في الطابع الزمني للكشف عن التنبيه في SIEM. |
تكوين قواعد إعادة التوجيه لتكاملات الشركاء
قد تقوم بدمج Defender for IoT مع خدمة شريك لإرسال معلومات التنبيه أو مخزون الجهاز إلى نظام أمان أو إدارة جهاز آخر، أو للاتصال بجدران الحماية من جانب الشريك.
يمكن أن تساعد عمليات تكامل الشركاء على سد حلول الأمان المنعزلة سابقا، وتعزيز رؤية الجهاز، وتسريع الاستجابة على مستوى النظام للتخفيف من المخاطر بسرعة أكبر.
في مثل هذه الحالات، استخدم الإجراءات المدعومة لإدخال بيانات الاعتماد والمعلومات الأخرى المطلوبة للتواصل مع خدمات الشركاء المتكاملة.
لمزيد من المعلومات، راجع:
- تكامل Fortinet مع Microsoft Defender لإنترنت الأشياء
- تكامل Qradar مع Microsoft Defender لإنترنت الأشياء
تكوين مجموعات التنبيه في خدمات الشركاء
عند تكوين قواعد إعادة التوجيه لإرسال بيانات التنبيه إلى خوادم Syslog وQRadar وArcSight، يتم تطبيق مجموعات التنبيه تلقائيا وتكون متوفرة في خوادم الشركاء هذه.
تساعد مجموعات التنبيهات فرق SOC باستخدام حلول الشركاء هذه لإدارة التنبيهات استنادا إلى سياسات أمان المؤسسة وأولويات الأعمال. على سبيل المثال، يتم تنظيم التنبيهات حول الاكتشافات الجديدة في مجموعة اكتشاف ، والتي تتضمن أي تنبيهات حول الأجهزة الجديدة والشبكات الظاهرية وحسابات المستخدمين وعناوين MAC والمزيد.
تظهر مجموعات التنبيه في خدمات الشركاء بالبادئات التالية:
البادئة | خدمة الشركاء |
---|---|
cat |
QRadar، ArcSight، Syslog CEF، Syslog LEEF |
Alert Group |
الرسائل النصية ل Syslog |
alert_group |
كائنات Syslog |
لاستخدام مجموعات التنبيه في التكامل الخاص بك، تأكد من تكوين خدمات الشريك لعرض اسم مجموعة التنبيه.
بشكل افتراضي، يتم تجميع التنبيهات على النحو التالي:
- سلوك اتصال غير طبيعي
- تنبيهات مخصصة
- الوصول عن بُعد
- سلوك اتصال HTTP غير طبيعي
- اكتشاف
- إعادة تشغيل الأوامر وإيقافها
- المصادقة
- تغيير البرامج الثابتة
- مسح ضوئي
- سلوك الاتصال غير المصرح به
- الأوامر غير القانونية
- نسبة استخدام شبكة أداة الاستشعار
- الحالات الشاذة للنطاق الترددي
- الوصول إلى الإنترنت
- الشك في وجود برامج ضارة
- تجاوز المخزن المؤقت
- فشل العملية
- الاشتباه في النشاط الضار
- حالات فشل الأمر
- المشكلات التشغيلية
- تغييرات التكوين
- البرمجة
لمزيد من المعلومات وإنشاء مجموعات تنبيهات مخصصة، اتصل بدعم Microsoft.
استكشاف أخطاء قواعد إعادة التوجيه وإصلاحها
إذا لم تعمل قواعد تنبيه إعادة التوجيه كما هو متوقع، فتحقق من التفاصيل التالية:
التحقق من صحة الشهادة. تدعم قواعد إعادة التوجيه ل Syslog CEF وMicrosoft Sentinel وQRadar التشفير والتحقق من صحة الشهادة.
إذا تم تكوين مستشعرات OT للتحقق من صحة الشهادات ولا يمكن التحقق من الشهادة، فلا تتم إعادة توجيه التنبيهات.
في هذه الحالات، جهاز الاستشعار هو عميل الجلسة وبادئها. عادة ما يتم تلقي الشهادات من الخادم أو استخدام تشفير غير متماثل، حيث يتم توفير شهادة معينة لإعداد التكامل.